跳到主要内容

Web漏洞扫描工具ZAP的简单使用

·1 分钟
随笔 随笔
目录

Web漏洞扫描工具ZAP的简单使用

简介

Zed Attack Proxy(ZAP)

一个免费开源的web应用扫描程序,由专门的国际志愿者团队维护,GitHub Top 1000项目。

  • 官网地址 [ZAP (zaproxy.org)](https://www.zaproxy.org/) (可能需要科学网络)
  • github [zaproxy/zaproxy: The ZAP core project (github.com)](https://github.com/zaproxy/zaproxy)

安装说明

注:需要JAVA11以上版本java运行环境,否则无法正常安装运行

官网或github下载exe安装包即可。

软件截图

image-20240905115312515

简单使用

进入主页面点击右侧自动扫描转到如下界面

image-20240905120225248

扫描站点页面及请求

这一步是利用爬虫爬取站点相关页面及请求,要攻击的URL中输入目标站点地址。

点击攻击按钮,开始扫描站点相关页面及请求,如图所示:

image-20240905141929206

扫描系统漏洞

右键站点下的路径,选择攻击->主动扫描

image-20240905142115840

在弹框中可配置扫描策略

image

image (1)

一般使用默认策略即可,点击开始扫描

可在主动扫描窗口中查看扫描进度

image (2)

扫描结束后点击警报窗口即可查看扫描结果

image (3)

点击对应的警报可查看详情信息,即可根据警报详情做出相应防护措施

image (4)

生成报告

点击工具栏报告->生成报告弹出生成报告选项弹框

image (5)

在生成报告弹框中可配置报告信息

image (6)

选择模板可生成不同格式的报告,根据实际情况选择即可

image (7)

其他

本介绍只是初步简单使用该攻击,具体用法以及其他功能可以查看官网教程,或github介绍